一个防 XSS 自动发留言的演示,看看你能不能绕过~

2017-03-05 22:00:25 +08:00
 zjcqoo

http://www.etherdream.com/FunnyScript/anti-xssworm/

游戏规则:在控制台里编写代码,若能自动发出留言,就算成功。

2363 次点击
所在节点    程序员
10 条回复
xqin
2017-03-06 10:25:07 +08:00
```
(function(img){
img.onload = updateList
img.src='https://xqin.net/temp/anti-xssworm.php?c=test_' + Math.random()
})(new Image())
```

这样的算吗?
zjcqoo
2017-03-06 10:47:47 +08:00
@xqin 后端代理应该不能算~ 这个案例只是为简单,所以不用登陆也可以发表。一般应用都是需要登陆的,代理是不知道用户 token 的。
xqin
2017-03-06 10:55:50 +08:00
`游戏规则:在控制台里编写代码,若能自动发出留言,就算成功。` 不是符合了上面的规则了吗? 又没说不让用后端中转.

那个 DEMO, 利用 跨域 隔离运行环境, 从 js 层面想触发 click 是不可能了(只能用户主动点), 并通过 `message` 事件来进行交互.
xqin
2017-03-06 10:58:38 +08:00
话说楼主咋换头像了呢 :P
zjcqoo
2017-03-06 11:04:36 +08:00
@xqin 没有换啊。。。应该是被和谐了。。。
zjcqoo
2017-03-06 11:06:29 +08:00
好吧,我再加个需要登陆的机制。。。不过这样后端还是可以自动发的。

我想想,改下游戏规则。用 clickjacking 也算,但也不能太容易
lauix
2017-03-06 12:12:44 +08:00
这也叫防 XSS ???
zjcqoo
2017-03-06 12:55:32 +08:00
@lauix 防自动发留言
cyrbuzz
2017-03-06 17:18:20 +08:00
试了一下:
iframs = document.getElementsByTagName('iframe')
然后 iframs[1].src = 'http://127.0.0.1/test' (0 也可以。)
http://127.0.0.1/test 是个用 flask 搭建的页面,页面就是用 python 请求发消息的地址:
http://cross.etherdream.com/FunnyScript/anti-xssworm/submit.php ,然后就可以发了。

呃,不知道这样可不可以。
zjcqoo
2017-03-06 17:26:15 +08:00
@cyrbuzz 这和 1L 是一样的,用代理发送

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/345147

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX